Le défaut de désérialisation permet aux attaquants d’exécuter à distance des codes arbitraires sur les serveurs Web IIS des clients.
Les pirates exploitent une défaut de faille de code à distance à distance de haute sévérité (RCE) dans les déploiements de la ville – un logiciel de gestion des actifs et des bons de travail centrée sur le SIG – pour exécuter des codes sur les serveurs Web Microsoft d’un client.
Dans un avis coordonné avec la US Cybersecurity and Infrastructure Security Agency (CISA), le développeur de CityWorks Trimble a déclaré que la vulnérabilité, suivie comme CVE-2025-0994 avec CVSS, est une faille de désérialisation grave et qu’il travaille sur 8,6 / 10 Un correctif qui sera publié dans la prochaine mise à jour logicielle.
Les villes américaines telles que Greeley, le comté de Baltimore et Newport News, ainsi que des services publics critiques tels que Sacramento Suburban Water District et Bay County Road Commission, dépendent de City Works for Asset Management. Une violation pourrait entraîner des perturbations de service, une exposition aux données et des risques de sécurité publique, soulignant la nécessité de correction rapide de cette vulnérabilité.
« Les clients sur site doivent installer immédiatement la version mise à jour », a déclaré Trimble. «Ces mises à jour seront automatiquement appliquées à tous les déploiements CityWorks Online (CWOL).»
Au cours de leur enquête, après avoir fait état de rapports d’activités suspectes, Trimble a déclaré avoir trouvé des autorisations excessives et des activités de répertoire suspectes sur un certain nombre de déploiements Cityworks.
« CISA rappelle aux organisations d’effectuer une analyse appropriée de l’impact et une évaluation des risques avant de déployer des mesures défensives », a déclaré CISA dans l’avis.
Les pirates ont effectué RCE contre Microsoft IIS
Les pirates auraient exploité la faille pour exécuter des codes à distance sur les serveurs Web Microsoft Information Information (IIS) des clients, un logiciel qui permet l’hébergement Web sur l’infrastructure Windows.
« Trimble a observé que certains déploiements sur site peuvent avoir des autorisations d’identité IIS surempareuses », a noté la société. «Pour éviter le doute, et conformément à notre documentation technique, IIS ne devrait pas être exécuté avec des privilèges administratifs locaux ou de domaine sur un site.»
De plus, l’enquête a révélé que certains déploiements ont des configurations de répertoires de pièce «inappropriées». Trimble a recommandé de limiter la configuration racine du répertoire des pièces jointes aux dossiers et aux sous-dossiers contenant uniquement des pièces jointes.
Les clients qui cherchent à mettre à jour les autorisations d’identité IIS peuvent le faire en faisant référence aux notes sur les portails de support CityWorks. Les clients CWOL, ont clarifié Trimble, ont déjà reçu des corrections d’autorisation et n’ont rien à faire.
Les IOC révèlent que la balise de CobaltStrike a été utilisée pour RCE
L’avis comprenait une liste d’indicateurs de compromis (IOC), détaillant divers outils utilisés par les acteurs de la menace pour l’intrusion à distance. Parmi eux, il y avait des chevaux de Troie Winutty et Cobaltsstrike, ainsi que des exécutables basés à Golang conçus pour charger VShell.
Il y avait également quelques attaquants d’URL utilisés pour les opérations de communication et de contrôle (C2), établies à l’aide de CobalTstrike.
Les serveurs Web Microsoft Internet Information Services (IIS) sont une cible populaire pour les acteurs de la menace en raison de leur potentiel de prise de contrôle du système. Les attaquants les exploitent pour gagner de la persistance, dégénérer les privilèges, établir des canaux de commande et de contrôle (C2) et distribuer des logiciels malveillants. La semaine dernière, Microsoft a averti que les acteurs de la menace ciblent ces serveurs dans les attaques d’injection de code ViewState en utilisant des clés de machine ASP.NET divulguées publiquement dans une campagne sans rapport.
